Intelligence artificielle et identité : Le point sur les solutions d’identité à l’heure de l’intelligence artificielle

OpenIA a lancé ChatGPT il y a un peu plus de deux mois, et cette nouvelle plateforme est déjà connue de tous. L’intelligence artificielle (IA) étant actuellement l’un des sujets les plus brûlants dans le monde, tout le monde, qu’il s’agisse des techniciens ou des profanes, en prend acte.

Selon Forbes, « Plus de 75 % des consommateurs s’inquiètent de la désinformation générée par l’IA ». Malgré son potentiel extraordinaire et indéniable, cette nouvelle technologie présente aussi de nouveaux risques de cybersécurité. C’est notamment pour cette raison que le Sénat des États-Unis élabore de nouvelles lois pour réglementer spécifiquement l’utilisation de l’IA.  

S’adapter aux difficultés que pose l’IA dans la gestion des identités et des accès est crucial. En qualité de professionnels de la sécurité, nous savons que nous ne pouvons pas protéger contre absolument tout. Il y a longtemps de cela, Ping Identity a appris que dès que nous détectons ce que font les acteurs malveillants, ceux-ci trouvent un nouveau moyen de contourner les méthodes de détection. Aujourd’hui, nous commençons à peine à voir comment le machine learning avancé est utilisé pour pénétrer dans des méthodes d’authentification établies.

Même si des difficultés vont surgir, il est évident que la détection et la réponse aux menaces ciblant les identités (ITDR) et l’identité décentralisée (DCI) peuvent être utilisées ensemble pour lutter contre les menaces de sécurité à l’heure de l’intelligence artificielle.

Si les fournisseurs de solutions d’identité connaissent les menaces posées par l’IA, la plupart des pratiques de base concernant la sécurité des identités sont à la traîne par rapport à cette nouvelle technologie. Dans le jeu du chat et de la souris qu’est la sécurité des identités, les cybercriminels utilisent l’IA pour contourner des contrôles d’identité avancés comme la vérification de la voix.

Cyberattaques IA et vérification de la voix

L’un des exemples les plus alarmants des menaces générées par l’IA pour la sécurité des identités est la vérification de la voix. Parallèlement à l’authentification adaptative et les OTP par SMS et par email, la vérification de la voix est un composant important de l’authentification par étapes utilisée par les centres d’appels, en particulier dans le secteur bancaire. 

D’après les derniers retours d’expérience, les cybercriminels utilisent des algorithmes générés par l’IA pour copier les voix des individus. Si les acteurs malveillants accèdent à un enregistrement de haute qualité de votre voix, obtenu peut-être lors d’un appel téléphonique de type spam, ils peuvent créer une copie synthétique de votre voix en quelques minutes seulement.

Face aux progrès réalisés dans la génération de voix avec l’IA, il est de plus en plus difficile pour les systèmes de vérification de distinguer les voix réelles et synthétisées. Même si les fournisseurs utilisant la biométrie développent des barrières pour tenter de réduire ces risques, un jeu d’escalade a commencé entre fournisseurs et cybercriminels.

Attaques de phishing générées par l’IA 

Les cybercriminels utilisent aussi l’IA pour intensifier la fréquence et la sophistication des attaques de phishing. Même si les emails et les SMS de phishing font déjà partie du quotidien de nombreuses personnes, l’IA va encore empirer le problème. 

Dans l’article « Artificial Intelligence is Playing a Bigger Role in Cybersecurity, But the Bad Guys May Benefit the Most », CNBC explique que « En les combinant avec des informations personnelles volées ou des données open source collectées telles que des posts sur les réseaux sociaux, les cybercriminels peuvent utiliser l’IA pour créer de grandes quantités d’emails de phishing pour diffuser des malwares ou collecter des informations sensibles». Ces emails de phishing étant générés par l’IA, ils sont beaucoup moins susceptibles de contenir des erreurs grossières qui permettent généralement d’identifier facilement ces emails. 

Une fois qu’un malware généré par l’IA est entré dans votre réseau, il peut, tout comme d’autres malwares, créer de graves problèmes. Dans l’article plus haut, CNBC, « un malware généré par l’IA peut s’installer à l’intérieur d’un système, collecter des données et observer le comportement de l’utilisateur jusqu’à ce qu’il soit prêt à lancer la phase suivante d’une attaque, ou à envoyer les informations collectées en prenant peu de risques d’être détecté ». 

Alors que l’IA devient de plus en plus sophistiquée et ciblée entre les mains des cybercriminels, des pratiques désuètes de gestion des identités et des accès (IAM) rendent les opérations vulnérables aux attaques. 

Les systèmes IAM centralisés stockent des quantités massives de données sur les utilisateurs en un seul lieu, ce qui en fait des cibles précieuses pour les hackers. Un exemple parfait de ce problème est le piratage Equifax qui a eu lieu en 2017. Lorsque le système a été piraté, les cybercriminels ont capturé des informations sensibles sur plus de 147,9 millions d’Américains, comprenant des numéros de sécurité sociale, des données sur les revenus, des adresses personnelles, des documents financiers et des numéros de cartes de crédit. 

Le piratage Equifax peut sembler être de l’histoire ancienne, mais le fait est que de nombreuses entreprises et agences gouvernementales s’appuient encore sur d’importants data stores centralisés. Alors que ces organisations doivent protéger les informations sensibles de millions de personnes, cette tâche est de plus en plus difficile depuis l’avènement de l’IA. 

Alors que de nombreux systèmes IAM centralisés obsolètes sont encore largement utilisés aujourd’hui, comment êtes vous supposés protéger vos données face à la hausse des cyberattaques générées par l’IA ? 

Chez Ping Identity, nous pensons que les organisations doivent protéger les données personnelles des utilisateurs, mais que ces derniers doivent aussi être capables de se protéger eux-mêmes. Si l’on considère la vitesse avec laquelle les défis s’intensifient avec l’IA, nous recommandons de combiner les pratiques d’ITDR et de DCI pour sécuriser les données dans ce nouveau paradigme. 

En suivant une approche Zero Trust, l’ITDR aide votre organisation à détecter les attaques ciblant les identités et à y répondre. Les identités décentralisées (DCI) renforcent la sécurité et la confidentialité en réduisant la dépendance de votre organisation envers des systèmes de données centralisés. Avec cette approche combinée, les utilisateurs contrôlent la façon dont leurs données d’identité sont partagées, pendant que les organisations renforcent la sécurité des utilisateurs en contrôlant en permanence leur environnement informatique.  

Détection et réponse aux menaces ciblant les identités (ITDR)  

Les pratiques d’ITDR étant capables de scruter attentivement votre réseau informatique à l’affût de toute activité suspecte ou anormale, elles sont un composant essentiel des stratégies Zero Trust. Comme l’explique ITSecurity Wire, l’ITDR « est nécessaire pour mettre en place des domaines supplémentaires de confiance, en plus des identités des utilisateurs, afin de combler les vides dans les insfrastructures multi-cloud. Toute confiance implicite ou assumée au sein de l’infrastructure et des systèmes peut potentiellement être éliminée par l’ITDR ». 

Si l’ITDR est un composant important du Zero Trust, il ne suffit pas, à lui seul, à protéger les données des utilisateurs dans les environnements informatiques d’aujourd’hui. Cette notion est particulièrement vraie concernant les pratiques de stockage massif des systèmes IAM centralisés. En fait, beaucoup voient l’ITDR comme une reconnaissance indirecte du fait que les grandes organisations doivent détenir les données et les identifiants des utilisateurs tout simplement car cela leur incombe. 

Lorsqu’il s’agit de protéger les données à l’heure de l’IA, l’ITDR échoue à maintenir les informations sensibles en sécurité. Tout simplement, si vous avez « détecté » quelque chose, cela signifie que vous avez déjà un problème entre les mains. En d’autres termes, il est peut-être trop tard pour réduire le risque de perte découlant de l’attaque. Malheureusement, l’étape suivante est généralement de tout nettoyer. 

L’identité décentralisée (DCI) 

L’ITDR est davantage une approche réactive pour l’IAM, elle nécessite une méthode complémentaire pour que l’identité reste plus sécurisée. Pour combler ce vide, la DCI renforce la sécurité et la confidentialité en réduisant la dépendance de votre organisation envers les systèmes de données centralisés. En retour, la DCI est architecturée pour limiter la quantité d’informations d’identité qui sont collectées et stockées en cas de faille dans une base de données centralisée.  

Avec la DCI, la vérification d’identité est subordonnée à la remise d’un identifiant vérifié au lieu d’exposer des informations personnelles qui sont stockées dans une base de données IAM centralisée. Ces identifiants sont vérifiés de façon chiffrée pour s’assurer de l’authenticité et de l’intégrité d’un utilisateur. Non seulement la DCI donne aux individus la possibilité de gérer leurs propres identités digitales, mais ces identifiants leur fournissent aussi un moyen sécurisé et inviolable de s’authentifier eux mêmes. 

En associant la DCI, qui offre une première ligne de défense, et les pratiques de l’ITDR, il est beaucoup plus difficile pour les cybercriminels de parvenir à usurper des comptes ou à réaliser des fraudes. Les data stores IAM centralisés augmentent le risque que de grandes quantités de données soient compromises lors d’une cyberattaque générée par l’IA. Avec la DCI, l’attractivité d’un piratage est fortement réduite puisqu’une faille aboutit à compromettre seulement les informations d’un seul individu, et non les données sensibles de millions de personnes. 

Portefeuilles électroniques

Les portefeuilles électroniques sont des applications logicielles qui permettent aux utilisateurs de gérer leur propre identité digitale. Contrairement aux systèmes d’identité traditionnels qui stockent les données dans un lieu centralisé, les portefeuilles électroniques permettent aux individus de contrôler leurs informations personnelles, tout comme un portefeuille physique. Les contenus spécifiques des portefeuilles électroniques comprennent des informations personnelles, des pièces d’identité, des identifiants de connexion et des données biométriques. 

Le processus de vérification

Avec la vérification, les identifiants sont partagés avec une tierce partie telle qu’un employeur ou une institution financière, puis ils sont vérifiés de façon chiffrée. Le processus de vérification garantit que l’identifiant soit authentique et qu’il n’ait pas été falsifié. Enfin, la tierce partie peut ensuite s’appuyer sur l’authenticité de l’identifiant pour prendre des décisions sur les qualifications ou l’identité de l’individu.

L’heure de l’IA est arrivée, c’est indéniable. Au sein de ce nouveau paradigme, l’identité est la nouvelle frontière qui sépare les acteurs malveillants et les utilisateurs légitimes. Si les cybercriminels peuvent pénétrer dans des systèmes IAM centralisés, ils ont accès à l’infrastructure digitale de l’organisation, ce qui leur ouvre une voie facile pour voler des adresses IP et autres données sensibles. Heureusement, les fournisseurs de solution de gestion des identités tels que Ping ont un temps d’avance dans le paysage informatique actuel. 

En combinant l’ITDR et la DCI, vous pouvez développer un environnement Zero Trust dans lequel les utilisateurs peuvent aussi supporter le fardeau de la gestion de leurs propres données d’identité, tandis que votre organisation peut aider les utilisateurs en contrôlant en continu l’environnement informatique en cas d’activité suspecte. En retour, la DCI nous aide aussi à revoir les bonnes pratiques IAM dans notre industrie. 

L’un des avantages clés des identifiants vérifiables est le fait qu’ils permettent aux individus de contrôler leurs informations personnelles et leur identité. Ils peuvent choisir quelles informations partager et avec qui, mais ils peuvent aussi révoquer, si besoin, l’accès à leurs identifiants. Ainsi, la DCI fournit un moyen plus sécurisé et plus respectueux de la vie privée pour prouver l’identité ou les qualifications de quelqu’un, que ne le font les systèmes IAM centralisés traditionnels.

PingOne Neo utilise un portefeuille électronique d’identité numérique afin que vos utilisateurs puissent accéder directement à leurs données vérifiées. Pour en savoir plus sur la nouvelle solution de gestion des identités décentralisées de Ping, rendez-vous ici.